-
Европейска регулация на киберсигурността и влиянието й върху бизнеса
Развитието на дигиталното общество налага създаването на законодателни механизми за превенция и реакция срещу киберзаплахи на европейско и национално ниво, които да поставят високи изисквания към сектори с голямо значение за функционирането на обществото, като същевременно подпомогнат изграждането и поддържането на системи за киберсигурност в предприятията.
Към настоящия момент в България тези отношения се регулират със Закона за киберсигурност, обнародван в брой 94/2018 на ДВ, с който се транспонира Директива 2016/1148 на ЕС относно мерки за високо общо ниво на сигурност на мрежите и информационните системи (NIS) и с Наредба за минималните изисквания за мрежова и информационна сигурност.
На 16.01.2023 г. влезе в сила нова Директива на ЕС – Директива 2022/2555 относно мерки за високо общо ниво на киберсигурност в Съюза (Network and Information Systems Directive – NIS2). Държавите-членки следва да я транспонират на местно ниво и да подсигурят контролни системи в областта на киберсигурността до 17.10.2024 г. Съобразно NIS2 се установява ред за отчитане на инциденти, управление на риска за киберсигурността, управление на риска при веригата на доставки и значителни по стойност санкции за нарушения.
Кой са задължени субекти според NIS2?
Директивата засяга средни (с над 50 служители или с годишен оборот по-голям от 10 милиона евро) и големи предприятия (с над 250 души и които имат или годишен оборот над 50 милиона евро или годишен баланс, който надвишава 43 милиона евро). Задължените предприятия се разделят на съществени и важни субекти, в следните сектори:
Съществени субекти в сектори:
- Енергия – електричество, нефт, природен газ, централно отопление и охлаждане и водород;
- Транспорт – въздушен, железопътен, воден и автомобилен;
- Банкови услуги и инфраструктури на финансовия пазар;
- Здравеопазване – включително медицински лаборатории, производство и клинични изпитвания на фармацевтични продукти и медицински изделия,
- Питейна вода и отпадъчни води;
- Цифрови инфраструктури – телекомуникации, центрове за данни, удостоверителни и облачни услуги;
- Информационни и комуникационни услуги;
Важни субекти в сектори:
- Пощенски и куриерски услуги;
- Управление на отпадъците;
- Производство и разпространение на химикали;
- Производство, преработка и разпространение на храни и хранителни продукти;
- Производство на техника и оборудване – медицинско, компютърно и транспортно оборудване и електроника и машини;
- Предоставяне на дигитални услуги – онлайн търсачки, онлайн търговия, социални платформи и мрежи;
Директива 2022/2555 на ЕС не се прилага за микро и малките предприятия, освен ако те имат ключова роля за икономиките или обществата на държавите-членки, като оператори на обществени електронни съобщителни мрежи или доставчици на съответните услуги, доставчици на доверителни услуги или регистри на имена на домейни от първо ниво (top-level domain – TLD), услуги за виртуални указател, в които се съхранява информацията за домейн имената и отговарящите им IP адреси (Domain Name System – DNS) или когато прекъсването на услугата може да има значителни последици в областта на общественото здраве.
Държавите членки следва да извършват оценка на своите национални стратегии за киберсигурност редовно и поне на всеки пет години въз основа на ключови показатели за ефективност и при необходимост ги актуализират. През 2022 г. беше приета и Актуализирана Национална стратегия за киберсигурност „Киберустойчива България 2023”, чиято основна цел е изграждането на Национална екосистема за киберсигурност и интегриране в системата за киберсигурност на Европейския съюз. При съставянето на новата национална оценка в България могат да бъдат по-детайлно конкретизирани и допълнени сектори, които са приоритетни за страната.
Следва да бъде определен и орган на национално ниво, които да събира данни от фирмите, да поддържа регистри, да бъде уведомен при възникване на кибератака, да има правомощията да извършва проверки, осъществява контрол и да налага административни наказания за неспазване на законодателството. България все още не е определила изрично органи за контрол по отношение на изпълнението на задълженията по Директивата, но вероятно тези функции ще бъдат възложени на Министерство на електронното управление и Изпълнителна агенция „Инфраструктура на електронното управление“.
Мерки за гарантиране на киберсигурност
За да изпълнят нормите за киберсигурност фирмите ще трябва да предприемат мерки, които включват:
- политики за анализ на риска и сигурност на информационните системи и конкретни действия при инцидент, гарантират непрекъснатост на стопанската дейност;
- сигурност на веригата за доставка, включително свързани със сигурността аспекти относно взаимовръзките между всеки субект и неговите преки снабдители или доставчици на услуги;
- сигурност при придобиването на мрежови и информационни системи, разработване и поддръжка, предприемане на действия при уязвимости и оповестяването им,
- политики и процедури за оценяване на ефективността на мерките за управление на риска в областта на киберсигурността,
- основни киберхигиенни практики и обучение в областта на киберсигурността, политики и процедури относно използването на криптография, криптиране,
- сигурност на човешките ресурси, политики за контрол на достъпа и управление на активи, използването на многофакторни решения за удостоверяване на автентичността или непрекъснато удостоверяване на автентичността, защитени гласови, видео и текстови съобщения и защитени системи за спешна комуникация в рамките на субекта.
Задължените субекти предоставят на националните контролните органи информация за „ранно предупреждение“ в рамките на 24 часа от узнаване за инцидента, уведомление за инцидент в рамките на 72 часа след узнаването на инцидента, първоначална оценка на инцидента, включително по отношение на неговата тежест и въздействие, междинен доклад при поискване и окончателен доклад не по-късно от един месец след подаване на уведомлението за инцидента. Окончателният доклад трябва да включва подробно описание на инцидента, включително вероятната причина за инцидента, приложените смекчаващи мерки и всяко трансгранично въздействие на инцидента.
Последици от неизпълнението
В новата Директива са предвидени санкции до 10 милиона евро или 2% от общия световен годишен оборот за съществените субекти и до 7 милиона евро или най-малко 1,4 % за важните субекти, като при налагането им се предпочита по-голямата от двете суми.
Препоръки за действия преди окончателното въвеждане на задълженията за киберсигурност
Препоръчителни действия за дружествата са анализ на бизнес процесите, които попадат в обхвата на NIS2, оценка на управление на риска и състоянието на киберсигурността на организацията, график и съставяне на стратегия за привеждане в съответствие, провеждане на тестове за проверка на устойчивост на кибератаки, преглед и подобряване на сигурността при веригата за доставки и отчитане на рисковете относно достъпа до системи и комуникацията с партньори и трети страни.
Възможности за финансиране, свързани с развитие на системи за киберсигурност на бизнеса
В контекста на тези промени и в изпълнение на стратегията на ЕС за постигане на максимално ниво на киберустойчивост, на 24.03.2023 г. Европейската комисия прие Програмата Цифрова Европа за цифров преход и киберсигурност за периода 2023-2024 г., в рамките, на която се предвижда да бъде осигурено финансиране на МСП и стартиращи бизнеси чрез Инвестиционната платформа за стратегически цифрови технологии по програмата InvestEU, за да се приспособят към новите регулаторни условия за киберсигурност.
Сферата на киберсигурността се развива непрестанно с оглед динамиката на отношения. Цифровизацията на бизнес процесите води не само до стремеж към постигане на съответствие с актуалните нормативни изисквания, но се налага като своеобразна превантивна мярка, която гарантира дигиталната сигурност на бизнеса и поддържането на адаптивни и коректни дигитални бизнес партньорства. Съветваме компаниите да извършат необходимите действия и преразгледат вътрешните си процедури, за да се подготвят за новите изисквания.
Екипът на Адвокатско дружество „Мургова и партньори“ притежава дългогодишна опит в консултирането на бизнеса за постигане на нормативното съответствие и въвеждането на нови регулаторни изисквания на европейско и национално ниво. Материалът има информативен характер и не следва да бъде тълкуван като правен съвет. При нужда от консултация или допълнителна информация по повод повдигнатите въпроси в настоящия материал, бихте могли да се свържете чрез https://murgova.com/
Статията е публикувана и в Колонката на Мургова и партньори в сайта на списание „твоят БИЗНЕС“.
3